近期有开发者报告指出,Cloudflare 的人机验证服务 Turnstile 更新了检测逻辑,因强制要求设备提供 WebGL 指纹信息,导致大量 WebKitGTK 浏览器陷入无限验证循环并无法访问相关网站。据悉,Cloudflare 的验证系统会检测 WebGL 渲染器信息是否被“伪造”,以此判断用户是否为机器人。然而,出于隐私保护考量,Apple 主导的 WebKit 内核(包括 Safari 及衍生浏览器)长期以来通过返回硬编码字符串来阻止此类指纹追踪。文章指出,Cloudflare 这一策略意味着所有启用此类隐私防护的 WebKit 浏览器都被视为可疑,除非 Cloudflare 为 Safari 添加了特定的白名单例外。相比之下,由于 Firefox(火狐浏览器)目前的实现并未完全掩盖 GPU 特征,即便启用了“画布随机化”,只要未开启 `privacy.resistfingerprinting` 严苛模式,仍能通过验证。此次事件揭示了网络验证机制与用户隐私保护之间的激烈冲突,安全厂商利用硬件指纹进行“验证”的行为,客观上迫使隐私敏感用户必须在“访问网站”和“保护隐私”之间做出选择。
事件分析
从技术角度来看,这是浏览器指纹识别攻防战的一次升级。Cloudflare 利用 WebGL 上下文中的 GPU 信息(如渲染器名称)作为强特征来区分脚本和真实用户,这种识别方式因具有极高的唯一性,常被用于跨站追踪。Apple WebKit 和 Blink 引擎早已采取“硬编码返回值”的策略来对抗此类追踪,这在安全行业被视为防止跨站追踪的标准做法。Cloudflare 将此类隐私保护行为判定为“伪造”并阻断访问,实际上是混淆了“隐私保护工具”与“机器人隐藏工具”的界限。对于 Firefox 而言,其相对宽松的默认指纹策略虽然保证了用户目前的访问畅通,但也暴露了其在隐私默认配置上的不足(如 Bugzilla#1916271 所示)。未来,随着反爬虫技术的日益侵入式,所有不处于 Safari 或 Chrome 主流白名单中的非主流浏览器,以及启用强隐私保护的用户,都可能面临更高的互联网访问门槛。
💡 核心观点:Cloudflare 将隐私保护特征误判为机器人威胁,标志着反爬虫技术正演变为对用户隐私权的变相审查,Web 开放访问的边界正在收缩。
原文链接:Hacker News
评论前必须登录!
立即登录 注册